ProFTPD是針對WuFTP的弱項而開發的除了改進的安全性還具備許多WuFTP沒有的特點能以Standalonexinetd模式運行等ProFTP已經成為繼WuFTP之後最為流行的FTP服務器軟件越的站點選用它構築安全高效的FTP站點ProFTP配置方便並有MySQL和Quota模塊可供選擇利用它們的完美結合可以實現非系統賬號的管理和用戶磁盤的限制那麼該如何建立安全的ProFTPD
一 ProFTPD服務面臨的安全隱患
ProFTPD服務面臨的安全隱患主要包括緩沖區溢出攻擊(Buffer Overflow)數據嗅探和匿名訪問缺陷
緩沖區溢出攻擊
長期以來緩沖區溢出已經成為計算機系統的一個問題利用計算機緩沖區溢出漏洞進行攻擊的最著名的案例是莫裡斯蠕蟲發生在年月但即使其危害人所共知緩沖區溢出仍然是現在入侵的一個重要手段
緩沖區溢出的概念緩沖區溢出好比是將一百公斤貨物放進一個只能裝十公斤的容器裡緩沖區溢出漏洞是一個困擾了安全專家多年的難題簡單來說它是由於編程機制而導致的在軟件中出現的內存錯誤這樣的內存錯誤使得黑客可以運行一段惡意代碼來破壞系統正常地運行甚至獲得整個系統的控制權
數據嗅探
FTP是傳統的網絡服務程序在本質上是不安全的因為它們在網絡上用明文傳送口令和數據別有用心的人非常容易就可以截獲這些口令和數據而且這些服務程序的安全驗證方式也是有其弱點的就是很容易受到中間人(maninthemiddle)這種方式的攻擊
所謂中間人的攻擊方式就是中間人冒充真正的服務器接收你傳給服務器的數據然後再冒充你把數據傳給真正的服務器服務器和你之間的數據傳送被中間人轉手後做了手腳之後就會出現很嚴重的問題 截獲這些口令的方式主要為暴力破解另外使用sniffer程序監視網絡封包捕捉FTP開始的會話信息便可順手截獲root密碼
匿名訪問缺陷
匿名訪問方式在FTP服務當中被廣泛的支持但是由於匿名FTP不需要真正的身份驗證因此很容易為入侵者提供一個訪問通道配合緩沖區溢出攻擊會造成很嚴重的後果
拒絕服務攻擊
拒絕服務是一種技術含量低但攻擊效果明顯的攻擊方式受到這種攻擊時服務器或網絡設備長時間不能正常提供服務並且由於某些網絡通訊協議本身固有的缺陷難以提出一個行之有效的解決辦法防范拒絕服務攻擊需要我們從全局去部署防御拒絕服務攻擊策略多種策略聯動防范將拒絕服務攻擊的危害降至最低
二 加固ProFTPD服務端建立安全的ProFTPD
升級版本
升級陳舊的ProFTPD版本因為早期的ProFTPD版本存在的安全漏洞對於一個新配置的ProFTPD服務器來說使用最新穩定版本是最明智的選擇可以在其官方網站下載其源代碼進行編譯ProFTPD最新版本是官方網址
使用xinetd方式運行ProFTPD
ProFTPD能以Standalonexinetd兩種模式運行當用戶賬號比較少又經常需要連接到ProFTPD服務器時推薦使用xinetd模式運行使用xinetd方式運行ProFTPD可以有效防范DoS攻擊
從傳統的守護進程的概念可以看出對於系統所要通過的每一種服務都必須運行一個監聽某個端口連接所發生的守護進程這通常意味著資源浪費為了解決這個問題一些Linux引進了網絡守護進程服務程序的概念
Redhat Linux 以後的版本使用的網絡守護進程是xinted(eXtended InterNET daemon)和standalone模式相比xinted模式也稱 Internet SuperServer(超級服務器)
xinetd能夠同時監聽多個指定的端口在接受用戶請求時他能夠根據用戶請求的端口不同啟動不同的網絡服務進程來處理這些用戶請求可以把xinetd看做一個管理啟動服務的管理服務器它決定把一個客戶請求交給那個程序處理然後啟動相應的守護進程xinetd模式工作原理見圖
網絡技術免費提供,內容來源於互聯網,本文歸原作者所有。
